El procedimiento en este documento es un ejemplo y se puede utilizar como guía de consulta con cualquier vendedor del certificado o su propio servidor del certificado raíz. Los requisitos especiales del parámetro del certificado son requeridos a veces por su vendedor del certificado, pero este documento se piensa para proporcionar los pasos generales requeridos renovar un certificado SSL y instalarlo en un ASA que utilice el software 8.0.
No hay requisitos específicos para este documento.
Este procedimiento pertenece a las Versiones de ASA 8.x con la versión 6.0(2) o posterior del ASDM.
El procedimiento en este documento se basa en una configuración válida con un certificado instalado y usado para el acceso SSL VPN. Este procedimiento no afecta su red mientras el certificado actual no se borre. Este procedimiento es un proceso gradual en cómo publicar un nuevo CSR para un certificado actual con el mismo certificado raíz que publicó la original raíz CA.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.
Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.
Complete estos pasos:
Seleccione el certificado que usted quiere renovar debajo de la configuración > de la Administración de dispositivos > de los certificados de identidad, y entonces el haga click en Add
Figura 1
Bajo agregue el certificado de identidad, seleccione el agregar un nuevo botón de radio del certificado de identidad, y elija su par clave del menú desplegable.
Nota: No se recomienda para utilizar el <Default-RSA-Key> porque si usted regenera su clave de SSH, usted invalida su certificado. Si usted no tiene una clave RSA, completa camina a y el B. Si no continúe al paso 3.
Figura 2
(Opcional) complete estos pasos si usted no hace una clave RSA configurar todavía, si no salto al paso 3.
Haga clic nuevo….
Ingrese el nombre del par clave en el nuevo campo de nombre del par clave del ingresar, y el tecleo ahora genera.
Figura 3
Tecleo selecto.
Ingrese los atributos apropiados del certificado tal y como se muestra en del cuadro 4. Una vez que está completado, haga clic la AUTORIZACIÓN. Entonces haga clic agregan el certificado.
‘Figura 4’
CLI hecho salir:
crypto ca trustpoint ASDM_TrustPoint0 keypair CertKey id-usage ssl-ipsec fqdn 5540-uwe subject-name CN=ASA5540.company.com,OU=LAB,O=Cisco ystems,C=US,St=CA enrollment terminal crypto ca enroll ASDM_TrustPoint0
En la ventana emergente de la petición del certificado de identidad, salve su pedido de firma de certificado (CSR) a un archivo de texto, y haga clic la AUTORIZACIÓN.
Figura 5
(Opcional) verifique en el ASDM que el CSR esté pendiente, tal y como se muestra en del cuadro 6.
‘Figura 6’
Presente el pedido de certificado al administrador del certificado, que publica el certificado en el servidor. Esto puede estar a través de una interfaz Web, email, o directamente raíz CA al servidor para el proceso del problema del certificado.
Complete estos pasos para instalar el certificado renovado.
Seleccione el pedido de certificado pendiente conforme a la configuración > a la Administración de dispositivos > a los certificados de identidad, tal y como se muestra en del cuadro 6, y el tecleo instala.
En la ventana del certificado de identidad del instalar, seleccione la goma los datos del certificado en el botón de radio del formato del base 64, y el tecleo instala el certificado.
Nota: Alternativamente, si el certificado se publica en un archivo de .cer bastante entonces un archivo o un email basado texto, usted puede también seleccionar instala de un archivo, hojea al archivo apropiado en su PC, tecleo instala el archivo de certificado ID y después hace clic instala el certificado.
Figura 7
CLI hecho salir:
crypto ca import ASDM_TrustPoint0 certificate WIID2DCCAsCgAwIBAgIKYb9wewAAAAAAJzANBgkqhkiG9w0BAQUFADAQMQ !--- output truncated wPevLEOl6TsMwng+izPQZG/f0+AnXukWHQiUPwrYw83jqNIxi5aDV/4atBbgiiBa 6duUocUGyQ+SgegCcmmEyMSd5UtbWAc4xOMMFw== quit
Una ventana aparece que confirma el certificado está instalada con éxito. “OK” del tecleo a confirmar.
Figura 8
Asegúrese que su nuevo certificado aparezca bajo los certificados de identidad.
Figura 9
Complete estos pasos para atar el nuevo certificado a la interfaz:
Elija la configuración > la Administración de dispositivos > avanzó > las configuraciones SSL, tal y como se muestra en del cuadro 10.
Seleccione su interfaz bajo los Certificados, y el tecleo edita.
Elija su nuevo certificado del menú desplegable, haga clic la AUTORIZACIÓN, y el tecleo se aplica.
Figura 11ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1 ssl trust-point ASDM_TrustPoint0 outside
Salve su configuración en el ASDM o en el CLI.
Usted puede utilizar la interfaz CLI para verificar que el nuevo certificado está instalado al ASA correctamente, tal y como se muestra en de esta salida de muestra:
ASA(config)#show crypto ca certificates Certificate Status: Available Certificate Serial Number: 61bf707b000000000027 Certificate Usage: General Purpose Public Key Type: RSA (1024 bits) Issuer Name: cn=MS-CA Subject Name: cn=ASA5540.company.com !---new certificate ou=LAB o=Cisco Systems st=CA c=US CRL Distribution Points: [1] http://win2k3-base1/CertEnroll/MS-CA.crl [2] file://\\win2k3-base1\CertEnroll\MS-CA.crl Validity Date: start date: 22:39:31 UTC Aug 29 2008 end date: 22:49:31 UTC Aug 29 2009 Associated Trustpoints: ASDM_TrustPoint0 CA Certificate Status: Available Certificate Serial Number: 211020a79cfd96b34ba93f3145d8e571 Certificate Usage: Signature Public Key Type: RSA (2048 bits) Issuer Name: cn=MS-CA Subject Name: cn=MS-CA !---’old’ certificate CRL Distribution Points: [1] http://win2k3-base1/CertEnroll/MS-CA.crl [2] file://\\win2k3-base1\CertEnroll\MS-CA.crl Validity Date: start date: 00:26:08 UTC Jun 8 2006 end date: 00:34:01 UTC Jun 8 2011 Associated Trustpoints: test Certificate Status: Available Certificate Serial Number: 611f8630000000000026 Certificate Usage: General Purpose Public Key Type: RSA (1024 bits) Issuer Name: cn=MS-CA Subject Name: cn=*.vpn1.com CRL Distribution Points: [1] http://win2k3-base1/CertEnroll/MS-CA.crl [2] file://\\win2k3-base1\CertEnroll\MS-CA.crl Validity Date: start date: 23:53:16 UTC Mar 10 2008 end date: 00:03:16 UTC Mar 11 2009 Associated Trustpoints: test ASA(config)#
(Opcional) verifique en el CLI que el certificado correcto esté aplicado a la interfaz:
ASA(config)#show running-config ssl ssl trust-point ASDM_TrustPoint0 outside !--- Shows that the correct trustpoint is tied to the outside interface that terminates SSL VPN. ASA(config)#
Esto puede ser hecha si usted había generado las claves exportables. Usted necesita exportar el certificado a un archivo PKCS. Esto incluye la exportación de todas las claves asociadas.
Utilice este comando de exportar su certificado vía el CLI:
ASA(config)#crypto ca export <trust-point-name> pkcs12 <passphrase>
Nota: Passphrase - usado para proteger el archivo del pkcs12.
Utilice este comando de importar su certificado vía el CLI:
SA(config)#crypto ca import <trust-point-name> pkcs12 <passphrase>
Nota: Este passphrase debe ser lo mismo según lo utilizado al exportar el archivo.
Esto se puede también hacer con el ASDM para un par de fallas ASA. Complete estos pasos para realizar esto:
Inicie sesión al ASA primario vía el ASDM y elija las herramientas--> configuración de respaldo.
Usted puede respaldo todo o apenas los Certificados.
En el espera, el ASDM abierto y elige las herramientas --> configuración del Restore.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
17-Sep-2008 |
Versión inicial |